企業安全風險評估報告范文

導語：如何才能寫好一篇企業安全風險評估報告，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：注冊會計師　風險評估　風險管理　內部控制

一、引言

2010年美國公眾公司會計監督委員會(Public Company Accounting Oversight Board，PCAOB)通過了新的審計準則(審計準則第8號至第15號)，以規范審計師對審計風險的評估和反應。目的是監督公眾公司的審計師編制信息量大、公允和獨立的審計報告，以保護投資者利益并增進公眾利益。在PCAOB此次行動之前，不斷有人發出強烈的信息，讓審計職業人員在風險管理中扮演更積極的角色。而且PCAOB早在兩年前就已經提出了實施具體風險評估準則的信息，這些準則旨在解決從最初計劃到結果評估的審計過程問題。這些新準則是在審計促進成熟風險評估中非常重要的一步，可以把審計師未能發現的重大錯報事故風險降到最小。PCAOB執行主席丹尼爾?格爾澤爾說一旦這些標準被采用，在審計財務申明中發現，適當計劃以及實施審計以解決這些風險問題以增強投資者的信息是非常重要的。這些審計標準包括：審計風險、審計計劃、審計參與監督、計劃執行審計中的思考、重大錯報事故的確認與評估、審計師對重大錯報事故的回應、評估審計結果以及審計證據。它們貫穿了從初始計劃階段到審計結果評估的整個審計流程。PCAOB主席丹尼爾?高澤(DanielL，Goelzer)說：這些新準則的出臺意味著在促進精密的審計風險評估與將審計人員未能發現重大誤報的風險降至最低方面邁出了重要一步。識別風險，并通過正確地審計計劃和開展審計活動來應對風險，對于提升投資者對經審計財務報表的信心是至關重要的。

二、風險評估、企業風險管理與審計風險

(一)注冊會計師風險評估　風險導向審計的核心是審計風險，任何審計業務都必須將審計風險控制在可接受的風險水平內。因此風險導向審計要求注冊會計師加強對被審計單位及其環境的了解，在審計的所有階段都要實施風險評估程序，并將識別和的評估的風險與實施的審計程序掛鉤，而且要求針對重大的各類交易、賬戶余額和列報實施實質性程序，可以說風險評估程序是風險導向審計模式落實到審計工作的核心環節，風險導向審計下審計風險模型如下：審計風險=重大錯報風險×檢查風險。審計風險是指財務報表存在重大錯報而注冊會計師發表不恰當審計意見的可能性。重大錯報風險是指財務報表在審計錢存在重大錯報的可能性，檢查風險是指某一認定存在錯報，該錯報單獨或連同其他錯報是重大的，但注冊會計師未能發現這種錯報的可能性。注冊會計師合理設計審計程序的性質、時間和范圍，并有效執行審計程序，以控制檢查風險。注冊會計師采取以下方法展開審計工作：(1)注冊會計師應當針對財務報表層次的重大錯報風險置頂總體應對措施；(2)注冊會計師應當針對認定層次的重大錯報風險設計和實施進一步審計程序，包括測試控制的執行有效性以及實施實質性程序；(3)注冊會計師應當評價風險評估的結果是否適當，并確定是否已經獲取充分、適當的審計證據；(4)注冊會計師應當將實施關鍵的程序形成審計工作記錄。我們發現，注冊會計師以針對評估的財務報表層次重大錯報風險為起點，確定總體應對措施，并有針對評估的認定層次重大錯報風險設計和實施進一步審計程序，以將審計風險控制在可接受的低水平。風險導向的核心是審計風險，控制審計風險的關鍵是風險評估程序，另一方面，企業必須準確地評價和有效地管理各項與企業成功息息相關的風險。管理層不但需要準確地了解各項業務風險以及不良控制的后果，并且能夠根據所確認風險的殘余影響的輕重程度分配資源和關注程度。所以注冊會計師的風險評估將有利于企業的風險管理。

(二)企業的風險管理　每個企業在經營中存在各種風險，而我們這里討論的企業風險管理中的風險概念與金融市場的風險概念有所不同，當然金融風險也是企業(特別是金融類企業)面臨的風險之一，企業風險就是企業面臨的可能導致企業虧損的各種不確定性事件，降低企業的價值。所以風險管理需要做的就是盡量避免這種不確定性事件的發生，或者是降低不確定性事件發生后對企業造成的損失。企業風險管理包括四個環節：風險識別、風險評估、風險應對、風險監察。第一，風險識別是指盡力識別可能對企業取得成功產生影響的風險，包括整個業務面臨的較大的風險，以及與每個項目或較小的業務單位關系的風險，識別潛在風險可以認識到企業面臨的各種風險類型，而且風險識別程序應該在企業內的多個層級得以執行，這與注冊會計師的風險評估貫徹于整個審計過程一樣。第二，風險評估是在識別了各種風險后，對風險的的性質、風險的類型、風險的發生頻率等進行評價，這種評價最主要分為兩方面，一個是影響，另一個是可能性，企業可能還會采用敏感性分析或者決策樹等方法對風險的性質進行全面的認識。這與注冊會計師的風險評估相似，不過更加具體、全面。第三，風險應對是指對上述評估的風險采取相應的措施，以避免該風險對企業產生的損失，風險應對的策略包括風險降低(如分散投資，就是一種降低風險的措施)，風險消除(使得該風險事件發生的概率降低為零)，風險轉移(將風險的后果采用保險、合同等方式轉移出企業)，風險保留(定期風險復核、控制風險情境)。第四，風險監察是指企業監測目標的實現過程，關注新的風險和相關損失，企業需要對風險進行監察，并在需要時不斷作出調整。風險檢查者定期檢查正在發生的虧損，以了解他們的控制建議得以實施，并設計過程來改善風險管理的過程，制定一項戰略來應對出現的新風險。

(三)風險評估與經營風險、審計風險　企業的風險識別是風險管理的第一步，是指對企業面臨的，以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。企業的風險一般可以分為兩類：系統風險和非系統風險。系統風險是由公司之外的各種因素引起的，如戰爭、經濟衰退、通貨膨脹、高利率等與政治、經濟和社會相聯系的風險，是不能通過多元化投資而分散的，因此又稱作不可分散風險或市場風險。非系統風險也被稱作可分散風險，它是由公司本身的商業活動和財務活動帶來的，如企業的管理水平、研究與開發、消費者需求的改變、市場營銷風險以及法律訴訟等，其可以通過多元化投資組合而分散，是公司特有的風險。而現代風險導向審計將風險評估、風險應對與審計程序聯系起來，這就使得注冊會計師審計不僅僅是出具審計報告的鑒證業務，也可以起到促進企業風險管理的作用，注冊會計師審計過程中必須進行風險評估，風險評估的過程是為了能夠獲得盡可能準確的財務報表重大錯報風險信息，以控制審計風險，企業風險管理的過程是為了控制企業經營風險，從審計風險與企業經營風險的關系，我們發現：其一，風險評估是指評估被審計單位風險，評估的過程是企業風險管理中的一個環節，所以在性質上他們具有相似性。其二，風險評估的程序包括：了

解被審計單位及其環境、了解被審計單位的內部控制等，而風險管理也需要進行這些工作，方法包括：觀察、檢查、分析程序，穿行測試等。風險評估。其三，風險評估的目的相同：對于注冊會計師而言，風險評估的目的是為了了解被評估的財務報表重大錯報風險，并且制定風險應對措施，有效地實施審計程序；對于企業而言，風險評估的目的是為了控制企業的風險點，防止企業出現虧損的不利情況而實現企業價值增值。風險評估使企業考慮潛在事項如何影響目標的實現。管理當局應從兩個角度對事項進行評估：可能性和嚴重程度，并且通常采用定性和定量相結合的方法。在不要求定量化的地方，或者在定量評估所需的可靠數據無法取得或獲取和分析數據不具有成本效益時，管理者通常采用定性評估技術。定量技術精確度更高，通常應用在更加復雜的活動中，以對定性技術進行補充。評估風險時既要考慮固有風險，也要考慮剩余風險。固有風險是管理當局沒有采取任何措施來改變風險的可能性或影響的情況下，一個企業所面臨的風險。剩余風險是在管理當局應對風險后所殘余的風險。審計中注冊會計師更多關注的是審計風險以及企業的經營風險，但是對于企業其他風險管理(如制度風險管理、法律風險管理)考慮不足，當然這是注冊會計師收益成本分析后的結果，但是注冊會計師必須區分企業經營風險與審計風險，經營風險是指實現不了經營目標和戰略的可能性，經營失敗是經營風險的擴大化，指企業由于經濟或經濟條件的變化而無法滿足投資者的預期，經營失敗的極端情況是申請破產。誠然企業經營失敗可能使得注冊會計師面臨審計訴訟，經營風險與審計風險有一定的相關性，但風險導向的核心是審計風險，而不是企業的經營風險。

三、注冊會計師風險評估與企業風險管理關系

(一)二者時間發展順序　環境變化促使越來越多的企業實施全面風險管理，也促進了風險導向審計的發展：從20世紀90年代開始，隨著新的科技技術和經濟全球化帶來企業組織結構虛擬化、集約化、專業化及扁平化等新的商業特征，許多跨國公司開始實施全面風險管理方法，一些國際咨詢公司和會計師事務所也開始運用這一概念并將其同咨詢或審計業務相結合。全面風險管理體系正在隨著企業治理的完善而越發受到重視，風險管理的概念逐步引入到我國的企業中，使得我國企業的風險管理工作納入了公司治理的范圍。2004年9月，COSO了《企業風險管理框架》。該框架是在《內部控制――整體框架》報告的基礎上，結合《薩班斯――奧克斯法案》在報告方面的要求，明確提出企業風險管理是由企業董事會、管理層和其他員工共同參與，應用于企業戰略制定，以及企業內部各層次和部門，用于識別可能對企業造成影響的事項，管理風險為企業目標的實現提供合理保證。同時該框架還指出：企業風險管理框架由內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控八個相互關聯的要素構成。這也奠定了企業風險管理系統的組織模式。風險導向審計的發展也與全面的風險管理系統構建同步，2003年10月，國際會計師聯合會下屬的國際審計準則委員會了三個新的國際審計風險準則，并從2004年12月15日或之后開始的期間財務報表審計起執行這三個新準則。2004年10月，中國注冊會計師協會根據國際審計準則的最新發展，對已修訂的四個新審計風險準則在全國范圍內征求意見，并且于2007年1月1日開始實施。風險導向審計已經深入了我國審計的實際工作，為審計業務的展開提供了指引。

(二)二者業務性質相互影響　全面風險管理為現代風險導向審計風險評估提供了更好的基礎為了評估客戶是否有效地監督和控制了其戰略風險及其他經營風險，注冊會計師必須識別、收集和處理大量與客戶經營活動相關的證據。當企業沒有實施全面風險管理時，收集這些證據即使在理論上是可行的，但為此付出的成本對注冊會計師而言也常常是不經濟的。注冊會計師的風險評估程序對企業風險管理有以下益處：(1)了解企業的外部環境風險以及內部控制成為風險評估的重要組成部分，注冊會計師也將公司內部控制的有效性作為風險應對的考慮因素。所以注冊會計師關于企業內部控制的評價將為企業的風險管理提供建議。(2)注冊會計師在實施控制測試與實質性測試時，會將交易的內部控制目標與關鍵內部控制聯系起來，然后將測試的結果與風險評估的結果進行對比，這將有助于公司相關交易所涉及人員在業務流程中履行好自己的職責，注冊會計師審計可以起到監督作用，發現企業內部控制的風險點。企業風險管理對注冊會計師的風險評估有以下益處：第一，企業風險管理的完善性與企業內部控制系統有著很強的相關性，所以如果企業建立了一整套風險管理的體系，那么注冊會計師的風險評估程序就會減少程序，因為風險評估在整個審計過程中的驗證過程都是可靠的。第二，企業風險管理的方式與注冊會計師風險評估。企業全員參與風險管理，從整個企業組合的角度實施風險管理，增強了企業風險管理的有效性，注冊會計師能夠在更大程度上信賴企業的全面風險管理，實施風險評估。第三，企業風險管理系統的完善性越不好，注冊會計師所涉及的這部分程序設計需要越謹慎，而風險評估程序后提出建議的邊際貢獻越高，這二者之間的交互作用就在于風險評估程序是對風險管理的一種再監察。

(三)二者存在的不同　當然二者存在著以下區別：注冊會計師風險評估更多是對內部控制有效性的評估，這種評估是因為審計的效率所決定的，而企業的風險管理需要覆蓋企業的整體層面和各個業務流程，所以我們注冊會計師的風險評估結果對于企業而言是一種參考，注冊會計師的風險評估只是對內部控制水平高低的一個評價，這并不能完全說明企業風險管理的有效性。注冊會計師可以通過對企業內部控制系統有效性評價來評估客戶監督和控制其戰略風險及其他經營風險的情況，如果僅僅是審計過程，注冊會計師不需要提出風險管理改進建議，他們評估的財務報表重大錯報風險只是為了控制檢查風險，進而控制審計風險。所以注冊會計師審計過程的風險評估與企業風險管理過程中的風險評估目的相似，但企業風險管理的目的和注冊會計師的風險評估還是存在不同。

四、企業風險管理及風險評估路徑

(一)風險評估報告與企業風險管理　(圖1)呈現了風險導向審計的框架，風險導向審計最大的要點就在于實施基本審計程序前的風險評估。而且后來的審計程序結果會不斷檢驗風險評估的結果，不斷地修正與調險估計水平，在整個審計過程中都需要進行風險評估過程，所以注冊會計師可以在審計完成后形成風險評估的最終結果，形成風險評估報告，以評價內部控制的有效性及風險管理控制的水平。該報告可能涉及內部環境、企業風險評估、風險反應、控制活動、信息和溝通、監控等要素，對企業內部控制的測試結果進行一個總結性陳述，形成風險評估報告。風險評估報告作為風險導向審計階段性成果在審計完成后反饋給被審計客戶，以幫助被審計客戶進一步完善內部控制水平，但我們必須意識到：風險評估報告不是審計報告的子報告，風險評估報告僅僅為被審計單位進一步提高內部控制水平而用，而非鑒證報告，注冊會計師不需要提供保證。

(二)風險評估報告與信息系統風險管理　注冊會計師評價內部控制有效性的要求里就包括了評價信息系統的有效性，所以注

篇2

會議名稱：2018年三季度全面風險管理會

日期：2018年10月17日

地點：二樓視頻會議室

出席人：xx行長、xx副行長、xx、xx、、

列席人：紀檢組長xx、xx

主持人：xx行長

記錄人：xx

 

一、  授信與風險管理部匯報本條線全面風險管理工作

（一）授信與風險管理部負責人xx匯報2018年三季度授信與風險條線風險評估報告

xx行長對營業部二季度全面風險會議要求整改未落實的事項進行了詢問。

（二）授信與風險管理部負責人xx匯報2018年三季度貸后管理工作報告

二、綜合管理部匯報本條線全面風險管理工作

（一）綜合管理部負責人xx對人力資源條線操作風險情況、聲譽風險情況、行政印章條線操作風險情況、信息科技條線操作風險情況、安全保衛條線操作風險情況做了評估報告

（二）xx行長對聲譽風險情況中仍有個別客戶反饋從我行購買貴金屬產品存在質量問題的解決情況進行了詢問

三、財務與營運管理部匯報本條線全面風險管理工作

（一）財務與營運管理部負責人xx匯報本條線評估報告

（二）xx行長對受理詢證函業務不規范做了詢問，并要求整改

四、公司部負責人xx對本條線風險評估報告進行匯報

五、個金部匯報本條線全面風險管理工作

（一）個金部負責人xx匯報2018年三季度個金部條線風險評估報告

（二）xx行長對機具的管理進行了詢問

六、營業部xx對本條線風險評估報告進行匯報

七、分管行領導xx、xx分別講話

（一）xx副行長講話

1、風險防范意識需進一步加強

（1）貸后管理不到位，要對政策文化、評級變化掌握透徹

（2）個貸資料審核還存在問題

2、業務素質和業務能力仍需進一步提升

（1）大堂的卡掛失等

（2）小微企業專題會

3、加強工作的執行力度

（1）培訓（2）外部監管機構的材料報送

4、希望交行員工能踐行交行精神、踐行責任和擔當，確保我們交行的業務是風險可控、持續穩健發展，落實好各部門工作計劃。

（二）xx副行長講話

1、大部分操作風險的原因

（1）意識不強（2）制度不懂（3）業務不熟

2、建議

（1）強化培訓（2）強化落實（3）強化考核

八、xx行長講話

（一）對各個部門的工作給予肯定并提出表揚

（二）要求

1、系統內外的檢查

2、標準動作和自選動作相結合

3、檢查和員工素質提高相結合

4、全面風險管理和決策

5、按周檢查、按月檢查、注重日常檢查

6、營運部和營業部加強對消保的管理

7、綜管部加強對7萬元盜刷的輿情管理，與營運部做配合

8、風控部按季核查存放中國銀行的存放資金

九、湘西紀檢組部署和安排工作

（一）湘西紀檢組xx對公司部的匯報中有黨風廉政和案防教育提出了表揚

（二）湘西紀檢組xx對以后的全面風險管理會的各部門匯報材料提出了要求和建議

篇3

【關鍵詞】安全風險；安全措施；風險評估報告

1.前言

建筑業是危險性較大的行業之一，安全生產管理的任務十分艱巨，安全生產不僅關系到廣大群眾的根本利益，也關系到企業的形象，還關系到國家和民族的形象，甚至影響著社會的穩定和發展。黨的十六屆五中全會確立了“安全生產”的指導原則，我國“十一五”發展規劃中首次提出了“安全發展”的新理念。所有這些表明，安全生產已成為生產經營活動的基本保障，更是當前建筑工程行業管理的首要目標。

風險評估的目的是為了全面了解建設安全的總體安全狀況，并明確掌握系統中各資產的風險級別或風險值，從而為工程安全管理措施的制定提供參考。因此可以說風險評估是建立安全管理體系（ISMS）的基礎，也是前期必要的工作。風險評估包括兩個過程：風險分析和風險評價[1][2]。風險分析是指系統化地識別風險來源和風險類型，風險評價是指按給出的風險標準估算風險水平，確定風險嚴重性。

2.風險評估模型與方法

風險評估安全要素主要包括資產、脆弱性、安全風險、安全措施、安全需求、殘余風險。在風險評估的過程中要對以上方面的安全要素進行識別、分析。

2.1 資產識別與賦值

一個組織的信息系統是由各種資產組成，資產的自身價值與衍生價值決定信息系統的總體價值。資產的安全程度直接反映信息系統的安全水平。因此資產的價值是風險評估的對象。

本文的風險評估方法將資產主要分為硬件資產、軟件資產、文檔與數據、人力資源、信息服務等[1][2]。建設工程的資產主要體現在建筑產品、施工人員、施工機械等。

風險評估的第一步是界定ISMS的范圍，并盡可能識別該范圍內對業務過程有價值的所有事物。

資產識別與賦值階段主要評價要素為{資產名稱、責任人、范圍描述、機密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分別為保密性，完整性，可用性的權重，QC=C / （C+I+A），QI、QA類似。

2.2 識別重要資產

信息系統內部的資產很多，但決定工程安全水平的關鍵資產是相對有限的，在風險評估中可以根據資產的機密性、完整性和可用性這三個安全屬性來確定資產的價值。

通常，根據實際經驗，三個安全屬性中最高的一個對最終的資產價值影響最大。換而言之，整體安全屬性的賦值并不隨著三個屬性值的增加而線性增加，較高的屬性值具有較大的權重。

在風險評估方法中使用下面的公式來計算資產價值：

資產價值=10×Round{Log2[（2C+2I+2A）/3]}

其中，C代表機密性賦值；I代表完整性賦值；A代表可用性賦值；Round{}表示四舍五入。

從上述表達式可以發現：三個屬性值每相差一，則影響相差兩倍，以此來體現最高安全屬性的決定性作用。在實際評估中，常常選擇資產價值大于25的為重要資產。

2.3 威脅與脆弱性分析

識別并評價資產后，應識別每個資產可能面臨的威脅。在識別威脅時，應該根據資產目前所處的環境條件和以前的記錄情況來判斷。需要注意的是，一項資產可能面臨多個威脅，而一個威脅也可能對不同的資產造成影響。

識別威脅的關鍵在于確認引發威脅的人或事物，即所謂的威脅源或威脅。建筑企業的威脅源主要是四個方面：人的不安全行為，物的不安全因素、環境的不安全因素、管理的不安全因素。

識別資產面臨的威脅后，還應根據經驗或相關的統計數據來判斷威脅發生的頻率或概率。評估威脅可能性時有兩個關鍵因素需要考慮：威脅動機和威脅能力。威脅源的能力和動機可以用極低、低、中等、高、很高（1、2、3、4、5）這五級來衡量。脆弱性，即可被威脅利用的弱點，識別主要以資產為核心，從技術和管理兩個方面進行。在評估中可以分為五個等級：幾乎無（1）、輕微（2）、一般（3）、嚴重（4）、非常嚴重（5）。在風險評估中，現有安全措施的識別也是一項重要工作，因為它也是決定資產安全等級的一個重要因素。我們要在分析安全措施效力的基礎上，確定威脅利用脆弱性的實際可能性。

2.4 綜合風險值

資產的綜合風險值是以量化的形式來衡量資產的安全水平。在計算風險值時，以威脅最主要影響資產C、I、A三安全屬性所對應的系數QC、QI、QA為權重。計算方法為：

威脅的風險值（RT）=威脅的影響值（I）×威脅發生的可能性（P）；

2.5 風險處理

通過前面的過程，我們得到資產的綜合風險值，根據組織的實際情況，和管理層溝通后劃定臨界值來確定被評估的風險結果是可接收還是不可接收的。

對于不可接收的風險按風險數值排序或通過區間劃分的方法將風險劃分為不同的優先等級，對于風險級別高的資產應優先分配資源進行保護。

對于不可接收的風險處理方法有四種[3]：

1）風險回避，組織可以選擇放棄某些業務或資產，以規避風險。是以一定的方式中斷風險源，使其不發生或不再發展，從而避免可能產生的潛在損失。例如投標中出現明顯錯誤或漏洞，一旦中標損失巨大，可以選擇放棄中標的原則，可能會損失投標保證金，但可避免更大的損失。

2） 降低風險：實施有效控制，將風險降低到可接收的程度，實際上就是設法減少威脅發生的可能性和帶來的影響，途徑包括：

a.減少威脅：例如降低物的不安全因素和人的不安全因素。

b.減少脆弱性：例如，通過安全教育和意識培訓，強化員工的安全意識等。

c.降低影響：例如災難計劃，把風險造成的損失降到最低。

d.監測意外事件、響應，并恢復：例如應急計劃和預防計劃，及時發現出現的問題。

3）轉移風險：將風險全部或者部分轉移到其他責任方，是建筑行業風險管理中廣泛采用的一項對策，例如，工程保險和合同轉移是風險轉移的主要方式。

4）風險自留： 適用于別無選擇、期望損失不嚴重、損失可準確預測、企業有短期內承受最大潛在損失的能力、機會成本很大、內部服務優良的風險。

選擇風險處理方式，要根據組織運營的具體業務環境與條件來決定，總的原則就是控制措施要與特定的業務要求匹配。最佳實踐是將合適的技術、恰當的風險消減策略，以及管理規范有機結合起來，這樣才能達到較好的效果。

通過風險處理后，并不能絕對消除風險，仍然存在殘余風險：

殘余風險Rr =原有的風險Ro-控制R

目標：殘余風險Rr≤可接收的風險Rt，力求將殘余風險保持在可接受的范圍內，對殘余風險進行有效控制并定期評審。

主要評估兩方面：不可接受風險處理計劃表，主要評價要素為{資產名稱、責任人、威脅、脆弱點、已有控制措施、風險處理方式、優先處理等級、風險處理措施、處理人員、完成日期}；殘余風險評估表，主要評價要素為{資產名稱、責任人、威脅、脆弱點、已有控制措施、增加的控制措施、殘余威脅發生可能性、殘余威脅影響程度、殘余風險值}。

2.6 風險評估報告

在風險評估結束后，經過全面分析研究，應提交詳細的《安全風險評估報告》，報告應該包括[4]：

1） 概述，包括評估目的、方法、過程等。

2） 各種評估過程文檔，包括重要資產清單、安全威脅和脆弱性清單、現有控制措施的評估等級，最終的風險評價等級、殘余風險處理等。

3）推薦安全措施建議。

3.結論

目前仍有相當一部分施工現場存在各種安全隱患，安全事故層出不群，不僅給人們帶來劇痛的傷亡和財產損失，還給社會帶來不穩定的因素。風險評估是工程安全領域中的一個重要分支，涉及到計算機科學、管理學、建筑工程安全技術與管理等諸多學科，本文的評估方法綜合運用了定性、定量的手段來確定建設工程中各個安全要素，最終衡量出建設工程的安全狀況與水平，為建立安全管理體系ISMS提供基礎，對建設工程的風險評估具有一定的借鑒意義。

參考文獻：

[1]ISO/IEC 17799：2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2：2002.Information Security Management-Specification for Information Security Management Systems.

篇4

關鍵詞：網絡安全；風險評估；安全措施

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)06-11012-01

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract：To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

頻頻發生的信息安全事件正在日益引起全球的關注，列舉的近年來的網絡突發事件，不難發現，強化提升網絡安全風險評估意識、強化信息安全保障為當務之急。所謂風險評估，是指網絡安全防御中的一項重要技術，它的原理是，根據已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告，為提高網絡安全整體水平提供重要依據。完成一個信息安全系統的設計與實施并不足以代表該信息安全事務的完結。隨著新技術、新應用的不斷出現，以及所導致的信息技術環境的轉變，信息安全工作人員要不斷地評估當前的安全威脅，并不斷對當前系統中的安全性產生認知。

2 網絡安全風險評估的現狀

2.1 風險評估的必要性

有人說安全產品就是保障網絡安全的基礎，但有了安全產品，不等于用戶可以高枕無憂地應用網絡。產品是沒有生命的，需要人來管理與維護，這樣才能最大程度地發揮其效能。病毒和黑客可謂無孔不入，時時伺機進攻。這就更要求對安全產品及時升級，不斷完善，實時檢測，不斷補漏。網絡安全并不是僅僅依靠網絡安全產品就能解決的，它需要合適的安全體系和合理的安全產品組合，需要根據網絡及網絡用戶的情況和需求規劃、設計和實施一定的安全策略。通常，在一個企業中，對安全技術了如指掌的人員不多，大多技術人員停留在對安全產品的一般使用上，如果安全系統出現故障或者黑客攻擊引發網絡癱瘓，他們將束手無策。這時他們需要的是安全服務。而安全評估，便是安全服務的重要前期工作。網絡信息安全，需要不斷評估方可安全威脅。

2.2 安全評估的目標、原則及內容

安全評估的目標通常包括：確定可能對資產造成危害的威脅；通過對歷史資料和專家的經驗確定威脅實施的可能性；對可能受到威脅影響的資產確定其價值、敏感性和嚴重性，以及相應的級別，確定哪些資產是最重要的；準確了解企業網的網絡和系統安全現狀；明晰企業網的安全需求；制定網絡和系統的安全策略；制定網絡和系統的安全解決方案；指導企業網未來的建設和投入；通過項目實施和培訓，培養用戶自己的安全隊伍。而在安全評估中必須遵循以下原則：標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。

安全評估的內容包括專業安全評估服務和主機系統加固服務。專業安全評估服務對目標系統通過工具掃描和人工檢查，進行專業安全的技術評定，并根據評估結果提供評估報告。

目標系統主要是主流UNIX及NT系統，主流數據庫系統，以及主流的網絡設備。使用掃描工具對目標系統進行掃描，提供原始評估報告或由專業安全工程師提供人工分析報告?；蚴侨斯z查安全配置檢查、安全機制檢查、入侵追查及事后取證等內容。而主機系統加固服務是根據專業安全評估結果，制定相應的系統加固方案，針對不同目標系統，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。

系統加固報告服務選擇使用該服務包，必須以選擇ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出加固報告。系統加固報告增強服務選擇使用該服務包，必須以選擇ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出系統加固報告，并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統加固實施服務選擇使用該服務包，必須以選擇 ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出系統加固報告，并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶，并由專業安全工程師實施加固工作。

3 網絡安全風險評估系統

討論安全評定的前提在于企業已經具有了較為完備的安全策略，這項工作主要檢測當前的安全策略是否被良好的執行，從而發現系統中的不安全因素。當前計算機世界應用的主流網絡協議是TCP/IP，而該協議族并沒有內置任何安全機制。這意味著基于網絡的應用程序必須被非常好的保護，網絡安全評定的主要目標就是為修補全部的安全問題提供指導。

評定網絡安全性的首要工作是了解網絡拓撲結構，拓撲描述文檔并不總能反映最新的網絡狀態，進行一些實際的檢測是非常必要的。最簡單的，可以通過Trackroute工具進行網絡拓撲發現，但是一些網絡節點可能會禁止Trackroute流量的通過。在了解了網絡拓撲之后，應該獲知所有計算機的網絡地址和機器名。對于可以訪問的計算機，還應該了解其正在運行的端口，這可以通過很多流行的端口發現工具實現。當對整個網絡的架構獲得了足夠的認知以后，就可以針對所運行的網絡協議和正在使用的端口發現網絡層面的安全脆弱點了。通常使用的方法是對協議和端口所存在的安全漏洞逐項進行測試。

安全領域的很多專家都提出邊界防御已經無法滿足今天的要求，為了提高安全防御的質量，除了在網絡邊界防范外部攻擊之外，還應該在網絡內部對各種訪問進行監控和管理。企業組織每天都會從信息應用環境中獲得大量的數據，包括系統日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風險，是風險管理中重要一環。目前的技術手段主要被應用于信息的收集、識別和分析，也有很多廠商開發出了整合式的安全信息管理平臺，可以實現所有系統模塊的信息整合與聯動。

數據作為信息系統的核心價值，被直接攻擊和盜取數據將對用戶產生極大的危害。正因為如此，數據系統極易受到攻擊。對數據庫平臺來說，應該驗證是否能夠從遠程進行訪問，是否存在默認用戶名密碼，密碼的強度是否達到策略要求等。而除了數據庫平臺之外，數據管理機制也應該被仔細評估。不同級別的備份措施乃至完整的災難備份機制都應該進行有效的驗證，不但要檢驗其是否存在安全問題，還要確認其有效性。大部分數據管理產品都附帶了足夠的功能進行安全設定和數據驗證，利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權訪問某些應用，而這往往是獲得系統權限和數據的跳板。事實上大部分的安全漏洞都來自于應用層面，這使得應用程序的安全評定成為整個工作體系中相當重要的一個部分。與更加規程化的面向體系底層的安全評定相比，應用安全評定需要工作人員具有豐富的安全知識和堅實的技術技能。

4 結束語

目前我國信息系統安全風險評估工作，在測試數據采集和處理方面缺乏實用的技術和工具的支持，已經成為制約我國風險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法，總結出一套適用于我國國情的信息安全效用評價體系，以保證信息安全風險評估結果準確可靠，可以為風險管理活動提供有價值的參考；加強我國信息安全風險評估隊伍建設，促使我國信息安全評估水平得到持續改進。

參考文獻：

[1] 陳曉蘇，朱國勝，肖道舉.TCP/IP協議族的安全架構[N].華中科技大學學報,2001，32-34.

[2] 賈穎禾.國務院信息化工作辦公室網絡與信息安全組.信息安全風險評估[J].網絡安全技術與應用，2004(7)，21-24.

[3] 劉恒,信息安全風險評估挑戰[R],信息安全風險評估與信息安全保障體系建設研討會,2004.10.12.

[4] [美]Thomas A Wadlow.網絡安全實施方法.瀟湘工作室譯.北京:人民郵電出版社，2000.

[5] 張衛清,王以群.網絡安全與網絡安全文化[J].情報雜志,2006(1)，40-45

[6] 趙戰生,信息安全風險評估[R],第全國計算機學術交流會,2004.7.3.

篇5

關鍵詞：施工企業 COSO報告 內部控制系統 風險管理

一、COSO內部控制框架

美國政府為了加強對市場的監管，出臺了內部控制及公司治理的相關措施，其中COSO委員會于1992年提出、并于1994年修改的《內部控制整合框架》將內部控制定義為由企業董事會、管理層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。內部控制由控制環境、風險評估、控制活動、信息和溝通以及監督這五個要素構成。上述三類目標是企業的努力方向，而五個要素則是實現目標的必要條件，二者相互關聯。五個要素之間相互協調，共同構成對不斷變化的環境做出動態反應的有機整體。進入21世紀后，風險管理備受全球關注，COSO委員會于2004年了《企業風險管理整合框架》，包括內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通以及監督八個要素。我國于2008年了《企業內部控制基本規范》，該規范中對內控的描述與《內部控制整合框架》基本相同。

二、施工企業的控制環境

內部控制在施工企業具有廣泛的適用性，然而，目前我國施工企業的內部控制還相當薄弱，主要表現在內部控制環境差，風險評估意識淡薄，控制活動不嚴密，信息與溝通不流暢以及監督檢查流于形式這五個方面。從我國施工企業內部控制的現狀來看，構建一個理想的內部控制體系勢在必行?？刂骗h境是五個要素中最基本的要素，被視為其他四個要素的基礎。施工企業的控制環境主要包括以下四個方面。

（一）高管層的重視與支持

施工企業內部控制是企業管理中一項綜合性很強的工作，涉及到施工工作的各個環節，影響每個職工的切身利益，尤其是對高管層權力具有約束作用。例如針對分包隊伍管理這一問題，有些單位將該權利交由主管領導一人決定；若實施內部控制制度，則需要全員共同參與決策。因此，內部控制制度是否能夠在施工企業順利、有效展開實施，良好的控制環境能否在施工企業建立，高管層的重視和支持起關鍵性作用。

（二）與施工企業相適應的用人機制

施工企業的施工現場很多地處偏遠山區，生活及工作環境比較惡劣，致使許多施工企業出現了關鍵技術員工辭職、離職的現象，嚴重影響施工生產的正常運行。如果企業缺乏完善的人事制度，企業的管理、運轉，甚至生存都將面臨危險。因此，對施工企業來講，一套較為完善的人事制度，應該包括員工的錄用制度、培訓制度、考核制度、晉升制度以及激勵和福利制度等。

（三）加強施工企業文化建設

文化是企業的靈魂，優秀的企業文化是一種無形的力量和源泉，能夠引導每一位員工以良好的精神面貌完成每一項管理和控制工作。施工企業的流動性決定了其企業文化的特殊之處。施工現場文化主要體現為文明施工建設，主要包括規范現場的場容管理，保持作業環境整潔衛生；做好現場物資、機械、安全、技術、保衛和消防等方面管理；施工現場各種標識牌和標語的管理；員工娛樂設施管理，減少對居民和環境的不利影響等。施工工地的文明施工水平是該項目工地乃至所在企業各項管理工作水平的綜合體現，也是施工企業文化特色的集中表現。

（四）合理、高效的施工企業組織機構

施工生產的單件性、露天性和流動性的特征，使施工企業的組織形式，尤其是現場組織形式，處于動態組合狀態。面對日益復雜多變的市場環境，組織機構的設置應有利于企業走向市場，同時有利于增加企業經濟效益。

三、施工企業的風險管理

施工企業常見的風險類型包括經營風險、管理風險以及財務風險等方面。施工企業應樹立風險意識，分析風險的類別及其特點，劃分風險的責任范圍，針對各個風險控制點建立有效的風險識別、評估、響應和監控等風險管理流程系統。通過各種具體措施，縮小風險范圍，降低風險系數，明確風險目標，加強管理，提高工作效率，減少風險損失，保證施工生產的正常運行。

施工企業風險管理的循環一般包括四個環節。（1）風險識別環節，應分析工程項目風險，識別風險來源。（2）風險評估環節，應根據項目風險的嚴重性，發生的可能性、可控性來評估風險。（3）風險響應環節，應確定工程項目風險的應對措施。（4）風險控制環節，應建立風險預警系統、制定應急計劃。

四、施工企業的控制活動

施工企業內部控制活動的關鍵控制點主要包括項目資金、項目采購、工程質量、工程成本以及工程項目資源。

（一）項目資金的內部控制

施工企業的流動性及投資的巨大性，決定了資金控制除了授權批準制度以及不相容職務分離外，建立資金結算中心模式更有利于整合遍及全國乃至海外的眾多項目資金。

（二）項目采購的內部控制

建設工程項目成本的70%左右均為材料成本，因此降低材料成本是降低生產成本的關鍵所在，而要降低材料成本，材料采購是最關鍵的環節之一。根據世界銀行貸款項目的貨物采購等有關招標采購文件，并結合我國施工企業的實際情況，施工項目物資采購的一般程序為確定采購計劃、采購方式、簽訂合同、執行合同、物資驗收以及資料歸檔。

（三）工程質量的內部控制

工程質量是企業的生命，且工程質量又與工程安全密切相關，因此推行全面質量管理，建立全面質量管理體系，采用科學方法對工程質量采用“一切用數據說話”的基準進行判斷，才能確保工程施工質量。

（四）工程成本的內部控制

施工項目成本費用管理效率的水準對施工企業的績效改善和持續發展極其重要，應實行項目全面成本管理責任體系，將材料控制、勞動控制、機械設備控制、項目間接費控制等方面作為實施重點。

（五）工程項目資源的內部控制

項目資源的內部控制，即各生產要素的管理，一般分為五個階段，即投標、簽約階段，施工準備階段，施工階段，驗收、交工與竣工結算階段，用戶服務階段。項目資源的內部控制是一個綜合管理的過程，是優質、高效建筑產品的誕生不可省略的過程之一。

五、施工企業的信息與溝通

信息溝通的方式很多，施工企業一般通過財務信息系統、內部報告系統進行溝通。

（一）財務信息系統

目前，施工企業實行的是財務多級核算模式，具體表現為各個施工隊會計報賬至各個項目部；各個項目部將其財務報表上交各個分公司；再由各個分公司將其財務報表上交集團總公司。施工企業應結合企業流程再造的思想對企業的組織和業務流程進行重新審視，建立與企業分散施工特點相符的組織結構。同時，在現有的已實施會計電算化的基礎上，依托網絡技術逐步推進企業內部所有核算單位的會計信息的集中管理模式，逐步改變目前實行的多級管理核算模式（見上圖）。

（二）內部報告系統

常用的內部報告體系包括施工生產經營報告體系、資本經營報告體系、預算執行報告體系等三大體系。具體地，施工生產經營報告體系包括財務狀況分析報告、項目經理述職報告、施工生產安全報告、施工生產經營報告以及施工質量控制報告；資本經營報告體系包括籌資及其成本報告、所得稅報告以及對外投資報告；預算執行報告體系包括收入中心預算執行報告、成本中心預算執行報告、費用中心預算執行報告、利潤中心預算執行報告以及投資中心預算執行報告。

六、施工企業的監督

在施工企業內部控制的監督過程中，內部審計和自我評估兩項職能發揮著重要作用。

（一）內部審計

施工企業的內部審計既是企業內部控制的一個重要組成部分，又是監督企業內部控制是否嚴格執行，促進內部控制制度不斷完善的重要力量。內部審計主要包括嚴格審計程序，規范審計行為，確保審計質量；合理設置審計機構，提高內部審計的獨立性與客觀性；構建信息化方式下，內部審計監督新模式、新方法；合理配備審計人員，提高審計人員素質等方面。

（二）自我評估

在進行內部控制自我評估，編寫內部控制自我評估報告時，應就以下八個方面的內容進行披露。（1）聲明公司董事會對建立健全和有效實施內部控制負責，并履行了指導和監督職責，能夠保證財務報告的真實可靠和資產的安全、完整。（2）聲明已經遵循有關標準和程序對內部控制設計與運行的健全性、合理性和有效性進行了自我評估。（3）對開展內部控制自我評估所涉及的范圍和內容進行簡要描述。（4）聲明通過內部控制自我評估，可以合理保證公司的內部控制不存在重大缺陷。（5）如果在自我評估過程中發現內部控制存在重大缺陷，應披露有關的重大缺陷及其影響，并專項說明擬采取的改進措施。（6）保證了已披露的內部控制重大缺陷之外，不存在其他重大缺陷。（7）自資產負債表日至內部控制自我評估報告報出日之間，如果內部控制的設計與運行發生了重大變化，應說明重大變化情況及其影響。第八，依法披露的內部控制自我評估報告，經董事會審議批準后方可公布。

參考文獻：

1.Kevin Buehler，Andrew Freeman，Ron Hulme. Owning the Right Risks[J].Harvard Business Review，2008，（09）.

2.Keith Wade，Andy Wynne.控制自我評估理論及應用[M].北京：中國財政經濟出版社，2008.

3.卜永軍.建設工程項目管理一本通[M].北京：地震出版社，2007.

4.方紅星譯.內部控制――整合框架[M].大連：東北財經大學出版社，2008.

5.劉霄侖譯.SOA與內部審計新規則[M].北京：中國時代經濟出版社，2007.

6.劉曉紅，徐玖平.項目風險管理[M].北京：經濟管理出版社，2008.

7.內部控制課題組.企業內部控制基本規范解讀與案例分析[M].上海：立信會計出版社，2008.

8.商德福.施工企業的管理與控制活動初探及案例風險[J].經營管理者，2013，（3）.

篇6

一、梳理企業現有治理結構、完善組織設計及部門設置

圖1 內控環境構建流程

合理的公司治理結構既是內控環境的組成部分，又是內控體系得以順利實現的基礎，所以上市公司首先應該明確自己的戰略目標，根據戰略目標規范治理結構，對現有組織結構、部門職責進行全方位的梳理，同時還要按照五部委的《內控規范》設立相應的內控部門及部門職責。其次，上市公司還應在上述基礎上對公司所有的規章制度進行查缺補漏，整合成符合公司實際需求的制度體系。

二、建立內部控制系統

世界上不存在兩個完全相同的企業，即便是同一行業中的兩個企業，銷售同類型的產品，都會在運營管理中體現出不同的文化特色、管理風格，這就決定了每個企業一定會有自己所特有的內控環境，因而其內部控制系統也一定是各有差異、各具特色。

企業內部控制的主要目標是為了經營合規合法、運作高效率、控制風險。為此，構建企業內部控制系統應該是一個長期、動態持續的過程，一般可以分為以下幾階段：

1.對企業風險進行系統評估。

圖2 企業風險評估體系

風險評估是被國內企業最容易忽視的環節，而實際上，這個環節卻是建立企業內控體系的一個至關重要的前提。企業應當基于所處行業的特色和企業自身的業務特征，利用專業的評估工具對企業的內外風險進行量化的分析，對風險可能發生的頻率和后果賦值，計量風險的嚴重程度，同時設定企業對風險的容忍限度，對診斷出的所有風險進行排序，隨后建立相應的風險數據庫及風險應對策略。

2.建立書面的內部管理手冊。

圖3 企業內部管理手冊建立流程

在前述建立的風險數據庫的前提下，企業的任務是對應于上述風險數據庫對企業整個運營管理流程進行分類，針對具體業務流程（明細程度可能根據企業的控制目標具體界定）確定關鍵崗位、職責表，描述關鍵控制點及相關的關鍵控制活動，分析不相容職務表（詳見“立信銳思――如何企業內部管理手冊”）。

企業的內部管理手冊應該是系統的、可操作的，所以在內部管理手冊的最后應當有相應控制活動的對應內審程序及職責表，以便于企業持續的監督，也就是在內控設計有效的基礎上確保執行的有效性。

3.對企業內部管理手冊的執行進行持續監督。

在以往的國有上市公司內控失敗的案例中，很多企業已經制訂了防范風險的控制制度，這些制度設計雖不能避免所有的風險，但至少可以保證不會導致企業破產清算，難以持續經營。他們的失敗不在于缺乏制度，而在于缺乏監督，致使制度形同虛設，舞弊肆虐、管理完全失效。

企業在建立了內部管理手冊以后，由專門的、職責獨立的內審部門負責日常的監督，并及時直接地向企業內部控制委員會匯報、實施有效控制。

對企業來說，僅實施日常監督是不夠的，內部控制委員會還要制定專項監督制度，對企業的非經常性項目進行不定期的監督，以防止預想之外的風險發生。

4.根據企業的外部環境及內部業務的變化對內控體系進行動態更新。

企業在業務發展的過程中會發生大小各異的內部變化，小到低層員工的變動，大到經營模式的變化，這些變動累積到一定程度會導致原有的風險手冊和內控管理手冊不再符合企業的實際，特別是2008年全球金融危機，企業面臨著及其嚴酷的競爭環境，該環境加劇了企業風險的可變性。因此，企業的內控體系也應該是一個動態更新的過程。

這個動態更新的過程即可以是漸進式的（當內外部變化不是非常劇烈時），也可以急進的、全新式的（當內外部發生的革命性的變化時）。

規范公司內部控制制度的執行和評價報告制度是公司首次執行公司內部控制評價報告制度最困難的一件任務。首次執行大規模的動態更新對于許多公司來說，并不是一件易事。

我們建議企業在首次建立內控體系或重大動態更新時選擇第三方的權威中介機構，既可以借助其專業知識為企業量身定做內控體系，也可以通過培訓方式培養企業自身的內控理念和意識。

三、對外披露：內控自我評估及內控鑒證

1.內控自我評估。

企業根據國家有關法律、行政法規或者有關監管規則的規定提交并披露（以財務報告為主的）內部控制自我評估報告時，還應當在該報告中披露以下內容：

（1）聲明企業董事會對建立健全和有效實施內部控制負責，并履行了指導和監督職責，能夠保證財務報告的真實可靠和資產的安全完整。

（2）聲明已經遵循有關的標準和程序對內部控制設計與運行的健全性、合理性和有效性進行了自我評估。

（3）對開展內部控制自我評估所涉及的范圍和內容進行簡要描述。

（4）聲明通過內部控制自我評估，可以合理保證本企業的內部控制不存在重大缺陷。

（5）如果在自我評估過程中發現內部控制存在重大缺陷，應當披露有關的重大缺陷及其影響，并專項說明擬采取的改進措施。

（6）保證除了已披露的內部控制重大缺陷之外，不存在其他重大缺陷。

（7）自資產負債表日至內部控制自我評估報告報出日之間（以下簡稱報告期內）如果內部控制的設計與運行發生重大變化的，應當說明重大變化情況及其影響。

（8）依法及時披露的內部控制自我評估報告，經董事會審議批準后公布。

2.內控鑒證。

篇7

關鍵詞：資產評估風險；風險防范措施；財務管理；立法風險；管理風險；執業風險 文獻標識碼：A

中圖分類號：F33 文章編號：1009-2374（2016）12-0193-03 DOI：10.13535/ki.11-4406/n.2016.12.092

1 資產評估風險的定義、特征和類型

1.1 資產評估風險的定義

資產評估相關單位或相關個人由于進行資產評估而帶來利益損失的可能性。這種損失造成的原因可能是由于評估價值區間與客觀價值的偏離或者是評估主體出現了行為失誤造成的，而且極其容易引發利益受損者對評估機構以及評估機構的評估人員進行民事甚至是刑事訴訟，要求其承擔責任，賠償損失。這其中又有廣義風險和狹義風險之分，那種強調風險表現不確定性的屬于狹義風險；而那種強調風險表現為損失的不確定性的屬于廣義風險。廣義風險的結果可能帶來損失，可能從中獲利，也可能沒有利益損害與利益收獲。

1.2 資產評估風險的特征

1.2.1 客觀必然性。資產評估工作具備規范市場秩序，提高市場交易的積極作用，但其也存在一定風險，所以資產評估風險具有客觀必然性。

1.2.2 未知不確定性。資產評估風險具有客觀必然性，而且其什么時間什么地點發生，發生什么類型以及發生多大程度的風險都是未知的，所以其具備未知不確定性。

1.2.3 潛在性。資產評估風險的存在是一種客觀事實，如果當事人的利益沒有遭受損失則相安無事，一旦當事人的利益損失達到了當事人不能容忍的地步的時候，潛在的可能性風險就變成了事實風險，所以資產評估風險具備潛在性。

1.2.4 階段性。一旦資產評估工作對當事人造成了利益損害，而且被當事人進行了法律訴訟，這種潛在風險就變成了事實風險，也就是說前階段還是潛在的風險，后階段就可能爆發為事實風險，所以說資產評估風險具備階段性。

1.3 資產評估風險的類型

1.3.1 立法風險。由于人的意識要受到現實條件的制約，所以相關部門在制定跟資產評估相關的法律法規的時候往往受到當時的歷史局限，經過多少年后，如果資產評估的立法不能夠及時更新與時俱進，那么就很可能會給一些不法分子帶來鉆法律空子的可能，之前確立的法律法規很可能因為不能適用于目前的實際情況而給資產評估工作帶來一些風險。

1.3.2 管理風險。管理風險主要是指主管資產評估行業的行政部門在對資產評估工作進行管理過程中可能產生的風險。這其中有兩點要特殊說明：一是目前我們國家資產評估管理的行政主管部門還沒有統一，不僅由財政部門主管，還由林業、房產管理、農業等部門主管，主管部門過多，造成資產評估工作很難形成統一標準；二是我們國家目前的資產評估管理職能主要有兩個，分別是規劃職能和控制職能。對于法律法規的制定和行業發展的規劃等都屬于是規劃職能范圍內的。而像對資產評估機構和資產評估人員進行資格認證、制定執業標準以及進行國際協調等都屬于是控制職能范圍內的。在我們國家，關于資產評估管理風險的具體表現主要是：由于評估的主管部門眾多，各部門之間存在一些政策上的沖突甚至是矛盾，所以各部門在進行職業標準制定以及其他方面的管理工作的時候，很難形成統一的標準，進而對資產評估工作的正常有序開展產生

影響。

1.3.3 執業風險。執業風險是資產評估風險中最常見的一種風險，由于現在我國資產評估機構眾多，資產評估人員數量龐大，但是資產評估人員的素質水平參差不齊，很多人的執業水平都達不到專業標準，如果評估人員的水平不夠，在進行資產評估的過程中就容易給評估當事人帶來一些不利的影響甚至是一些經濟上的損失，那么當事人就會對評估機構以及評估人員進行法律訴訟，評估機構就要承擔參與訴訟的花銷以及敗訴后給當事人的損失補償，這就是資產評估的執業風險。

1.3.4 結果使用風險。資產評估結果使用風險主要是因為當事人對于資產評估報告書以及資產評估結果的使用不當而帶來的一些風險。常見的表現有三種情況：一是評估當事人錯誤地使用了已經過期的資產評估報告書和資產評估結果；二是當事人沒有遵循資產評估報告書上所注明的評估目的來使用資產評估報告書和資產評估結果；三是當事人在使用資產評估報告書和評估結果的過程中對于評估期過去之后的一些事項而引起資產評估價值發生變化沒有考慮到。

2 資產評估風險防范面臨的問題

2.1 評估人員總體素質水平較低

長期以來，我國一直都在實行注冊資產評估師的考試制度來進行評估師的選拔。近年來，我國又開始采用注冊資產評估師的分類分級制度來對評估師隊伍進行專業劃分。目前已經有建筑評估師、土地評估師、機器設備評估師等具體的分類，發揮了每個評估師的專業特長。而分級則是根據注冊資產評估師的執業年限和工作經驗把資產評估師分為初級、中級和高級三個等級，等級越高的評估師其評估經驗越豐富，評估水平越高，評估質量越好。但是由于我國市場混亂，資產評估師考試制度以及資產評估師的分類分級制度實施過程中出現了很多問題，很多組織或個人在考試之前泄題給考生，評估師的分級制度審核也不夠嚴格，加之國內的資產評估起步較晚，所以跟發達國家相比，我國資產評估機構的評估人員素質水平參差不齊，真正有水平的高級評估師很少，評估師隊伍整體的素質水平不高。

2.2 缺乏完善的法律法規

從我國發生過的眾多評估糾紛案件中可以看出，我國目前的法律法規在資產評估方面極其不完善，缺乏全面的法律支撐。已有的《國有資產評估管理辦法》存在諸多方面的缺陷，《中華人民共和國注冊資產評估師法》還未形成可以全面規范資產評估執業準則和道德準則的作用。所以，由于我國缺乏完善的法律法規進而導致資產評估糾紛頻發，而且糾紛處理缺乏統一的法律依據，常常引發訴訟雙方的不滿。而且有很多不法分子鉆法律的空子，市場上經常出現虛假評估現象。

2.3 相關管理體制不健全

目前我國的資產評估市場比較混亂，評估行業問題百出，矛盾重重，跟我國的管理體制不健全有很大的關系，眾多行政主管部門各持各法，沒有達成一致，造成管理風險頻發。而且由于管理體制不健全，評估人員經常不按照既定程序進行評估操作，導致評估風險頻發，還有很多機構急功近利，為了搶占市場份額經常承攬諸多超出機構本身評估能力范圍之內的業務，所以就會經常出現很多不科學、不合理的評估結果，久而久之就會給機構的名聲帶來極大的損害，這都跟我國普遍存在的相關管理體制不健全有關。

2.4 監督制度不完善

我國資產評估起步晚，相關的管理制度尚不健全，相關的監督機制更是不夠完善，由于行政主管部門眾多，經常出現各部門之間相互推諉、相互扯皮的情況，不但沒有起到良好的監管作用，反而降低了對評估行業的監督力度，而且評估行業的新聞曝光率低，社會監督氛圍差，行業內部存在很多不正當競爭現象，而且由于缺乏有效監督，很多評估人員都粗心大意甚至是違背道德進行虛假評估，不對評估質量負責，導致評估行業的口碑下降，十分不利于評估行業的健康長遠發展。

2.5 評估報告不規范

現實生活中存在評估結果使用風險，主要是由于資產評估報告表述不恰當而引起當事人誤會，進而引發評估機構與當事人之間的糾紛，評估報告隨意不規范，很多地方闡述得不夠清晰，經常給當事人造成麻煩甚至是損失，所以常常引起當事人的不滿甚至對評估機構或者是評估師進行法律訴訟，評估機構和評估師也常常因此在訴訟過程中敗訴，所以必須要嚴格規范資產評估報告，做到嚴格規范、清晰明了。

3 加強資產評估風險防范的對策

3.1 加強對評估人員的培訓，提高評估人員素質水平

現代社會的發展進步，“人”的作用至關重要。資產評估工作本身是一項專業性很強且容不得半點馬虎的工作，所以要求評估人員必須要具備很高的政治思想素養、專業的評估水平以及嚴謹負責的工作態度，而且要經常學習，與時俱進。必須要加強評估隊伍的素質水平建設，加強對評估人員的素質培訓，培訓他們專業的評估知識和業務技能，并且要培養其學習能力和創新發展能力，提高其法律意識，加強其誠實守信愛崗敬業的道德教育，使資產評估人員都能夠成為綜合素質很強的應用型人才，降低資產評估的執業風險。

3.2 完善相關的法律法規

資產評估工作是一項十分嚴肅的涉及到評估當事人切身利益的事情，所以必須要對其進行規范化、法制化，使資產評估工作真正做到有法可依，引導評估行業健康長遠發展，不讓非法分子渾水摸魚，與此同時，必須要對資產評估的責任做出明確法律界定。積極捍衛評估結論的法律效果與權威性，嚴厲打擊不法分子或是失范者的違規行為，讓那些破壞評估行業制度的不法分子承擔相應的法律責任，通過法律法規的嚴格要求，凈化資產評估行業的發展環境，降低資產評估的立法

風險。

3.3 完善相關的管理體制

要加強資產評估工作的規范化管理，形成行業自律。首先要統一資產評估機構的行政主管部門，實行統一的管理辦法，為資產評估行業打造一個規范的外部環境；其次要盡快建立嚴格的執業準入與退出機制，嚴格規范評估機構的出資人資格以及評估人員的執業資格；最后要形成公平公正的獎懲制度，加強行業考核，嚴格把關執業質量，保證評估的正確性，降低資產評估的執業和管理風險。

3.4 完善相關的監督制度

監督是任何行業長遠發展都必不可少的保障。對于評估行業而言，要想保證評估結論的安全可靠就必須要形成一套行之有效的監督機制，加強對評估機構以及評估人員的監督，防止其評估失真。這種監督必須要由政府與社會共同完成，結合相關的法律法規，完善相關的技術監督手段，建立起一套完善有效的資產評估監督體系，盡快理清政府、社會、行業機構以及評估師之間的關系，明確各自的職責權限，做到監督到位，科學有效，降低資產評估的執業和管理風險。（下轉130頁）（上接194頁）

3.5 完善評估報告，加強自我保護

資產評估機構必須要吸取教訓，要想減少糾紛或者是盡量保證自身在與機構進行法律訴訟過程處于有利地位，資產評估機構就必須要加強對評估報告的規范，積極完善資產評估報告的格式與內容，做到嚴格規范、內容嚴謹、語言表述精煉準確，大力提高評估人員嚴謹的評估意識和專業的評估水平，這才不容易引起執業風險與結果使用風險的發生，起到自我保護的作用。

4 結語

世界范圍內資產風險評估的發展已經成為一種流行趨勢，它對于促進企業資產擴大的作用日益突出，但是其本身的各個環節都存在著一定的風險性，所以必須要加強對其風險識別、預防，極力降低資產評估風險的風險系數。目前，我國政府跟企業都已經認識到了資產評估的重要意義，都在積極完善資產風險評估制度，所以，相信我們國家的資產評估工作會開展得越來越好。

參考文獻

[1] 譚舒蔓，高兵.資產評估風險防范與控制[J].合作經濟與科技，2015，（12）.

[2] 范雪，張煦.資產評估風險防范與控制[J].中小企業管理與科技，2015，（4）.

[3] 汪芹.試論資產評估風險及其規避措施[J].企業導報，2013，（20）.

[4] 張翔.資產評估風險及其防范[J].中國證券期貨，2013，（9）.

[5] 史策，張瑩.資產評估風險防范與控制[J].品牌（下半月），2015，（8）.

篇8

一、企業各級信息管理部門職責，主要分為總部信息部門和各分部信息管理部門進行管理。

企業總部信息管理部門負責企業整體信息技術風險評估、統一建設信息系統的風險評估和總體層面信息系統的風險評估，并對企業信息技術風險評估工作進行指導和檢查。

各分部信息管理部門負責本單位信息技術風險評估工作，組織本單位層面信息系統的風險評估，并將信息技術風險評估報告總部備案。

各級信息業務使用部門職責是在同級信息管理部門的組織下，參與和本部門業務相關的信息系統風險評估工作。

二、信息技術風險分類及主要內容

信息技術風險主要包括信息技術項目風險、信息技術服務連續性風險、信息資產風險、供應商風險、應用風險、基礎設施風險、戰略與新興技術風險等。

信息技術項目風險是指信息技術項目無法交付的風險，包括因項目管理關鍵要素未能有效控制，導致項目延期、消耗資源超支、與計劃相比功能減少、交付產品未達標準、實施期間造成業務中斷等。

信息技術服務連續性風險是指由于信息系統的不可靠造成業務操作中斷，包括因信息技術服務水平過低等導致的宕機或系統響應時間過長等造成業務中斷。

信息資產風險是指未能有效保護與保存信息資產，包括信息系統裝載的信息資產損毀、丟失以及不當泄露等。

供應商風險是指在信息技術項目交付和日常運營過程中，由于供應商未能交付信息技術產品或服務，或已交付但未達到標準，對信息系統和服務造成即時或潛在的影響。

應用風險主要指信息系統不能滿足關鍵業務需求及信息技術應用故障，包括系統在操作性、功能性、可靠性、可維護性等方面存在缺陷對業務造成的負面影響。

基礎設施風險是指由于信息基礎設施不能正常運行帶來的風險，包括基礎設施構件發生故障、替換不當、配置不當等。

戰略與新興技術風險是指由于企業的信息技術能力有限，對戰略和新的技術環境缺乏足夠的適應能力，包括信息技術總體規劃和信息技術架構設計缺乏整體、戰略角度的考慮，缺乏靈活性等

三、信息技術風險評估方法

信息技術風險評估前期工作主要是針對信息技術風險評估對象收集相關的內部、外部初始信息，進行必要的篩選、提煉、對比、分類、組合等，以支撐信息技術風險評估工作。信息技術風險評估工作由信息管理部門會同有關業務部門共同完成。

信息技術風險評估包括風險識別、風險分析、風險評價。風險識別是通過查找信息系統支撐的各業務單元、各項重要經營活動及其重要業務流程，系統化地識別風險來源和風險類別；風險分析是對識別出的風險及其特征進行明確定義與描述，分析和描述風險發生的概率及風險發生的條件；風險評價是綜合資產的價值、資產面臨的威脅、威脅發生的可能性、現有控制體系已經提供的保護等多種因素，按照風險測量方法和風險等級評價原則，評估風險對企業目標的影響程度和風險的價值等。

信息技術風險評估要從戰略、運營、項目等多個層面進行綜合分析。在戰略層面，主要關注信息技術能力與業務戰略的一致性、應對新技術發展帶來的威脅等；在運營層面，關注危害信息系統及基礎設施有效性的風險、繞過系統安全措施的風險、造成重要資源損失或不可用的風險、違反法律法規的風險等；在項目層面，關注項目目標不能達到時所帶來的后續風險等。

信息技術風險評估包括各類風險之間的關系分析，以便發現各風險之間的自然對沖、風險事件之間的相關性等組合效應，從策略上對風險進行統一集中管理

信息技術風險識別、分析和評價采用定性與定量相結合的方法。定性方法可采用問卷調查、專家咨詢、情景分析、政策分析、行業標桿比較、訪談和調查研究等。定量方法可采用統計推論、計算機模擬、失效模式與影響分析、事件樹分析等。

根據信息技術風險評估工作實際，可請有IT風險管理經驗的人員參加，以及聘請資質、信譽好的專業機構協助實施。

五、信息技術風險評估后續工作

信息技術風險評估后續工作主要包括制定風險管理策略、實施風險管理、持續跟蹤改進等。

制定風險管理策略，主要是根據企業自身條件和外部環境，圍繞企業發展戰略，確定風險偏好、風險承受度、風險管理有效性標準，選擇適合的風險管理工具，并制定風險管理所需人力和財力資源的配置原則。

實施風險管理可通過風險承擔、風險規避、風險轉移、風險降低4種方法進行。總部和分部信息管理部門在實施信息技術風險管理方面應采取有效控制措施，盡量規避或降低信息技術風險。

持續跟蹤改進主要指對信息技術風險實行動態管理，總部和分部信息管理部門應定期或不定期開展風險識別、分析、評價工作，及時發現新的風險和原有風險的變化并進行評估。

六、信息技術風險管理監督、檢查

篇9

首先應分析和總結軌道交通工程存在的各類風險與特點，利用理論分析、施工現場勘查以及專家評審等多種方式，通過定期或者不定期報告在建設期限內展開建設質量以及安全風險管理工作，嚴格督查并切實加強關鍵節點的質控與風險管理工作;根據風險要素的表現形式來采取針對性控制策略，有效控制工程建設風險水平，最大化降低風險發生概率，以便于將風險事故所釀成的各方損失將至最低值。

2軌道交通工程的風險要素評估

(1)制定風險管理體系。應結合軌道交通建設管理標準與要求，著眼于軌道交通發展現狀，針對軌道交通質量安全策劃相應的風險管理方案，其內容涉及參建各方職責、風險管理內容以及各部分管理要求等。

(2)整體性評估。應結合施工現場情況、工程相關文件以及各類管理要求，根據工程自身特征、水文工程地質條件以及周邊環境制約因素對軌道交通項目建設存在的風險因素展開綜合評估，由此對軌道交通項目形成整體性的風險評估結果，對其管理要求以及風險等級予以明確。組織專家小組負責風險評審工作，與參建各方展開風險交底，明確關鍵風險點，例如軌道交通建設線路是否穿越保護性設施、歷史建筑、局部不良地質、立交橋與鐵路橋以及市政重要管線，或者在機場臨近區域施工、橋樁基礎施工風險以及盾構小曲率推進要點、下穿地表水體或穿越高速公路等等。

(3)動態性評估。開工前應根據工程水文地質、施工工藝、總體籌劃、周邊環境以及施工工序，由監理方指導參建各方評估本部單位工程中存在的風險要素，明確管理過程中的各個關鍵風險點。然后由安全管理機構對各單位提交的風險評估報告進行匯總，然后交由專家小組評估審核，制定初步的風險申報文件，并向建設單位提交。

3軌道交通工程施工現場安全管理

安全管理機構應為參建各方制定相應的安全管理標準，用于對安全管理標準化模式的執行做出相應的檢查和考核。現場安全管理以規范化的行為和管理程序為主要對象，而巡檢則是主要執行方式。巡檢執行者由專家工作組以及施工現場監察小組組成，其工作內容涉及如下幾個方面:

(1)參建各方。對現場各項建設程序進行檢查，評估其規范與否;審核各項審批以及備案程序是否已經到位;檢查工程關鍵部位、工序以及分部分項工程中具有較高危險性的部分，尤其是具有較高危險性且已超出一定規模的分項工程，應確認其遵循既定規程接受審批，或根據專家論證后施工技術方案貫徹落實;應對現場施工行為安全進行嚴密監控，關注現場危險源以及各環節施工違規操作行為，嚴格執行安全管理制度。

(2)施工企業。評估現場施工方是否就總分包行為構建質量安全保證體系;應對施工企業施工資質所發生的動態性變化予以嚴格審查，同時還應全面掌握企業工作人員資質動態變化、安全教育培訓制度以及各項規章制度;應對專業分包以及勞務分包進行檢查，確認其合法與否;確認總承包方在主體工程結構施工方面是否如約完工，或檢查其有無非法轉包行為;應對施工方現場管理控制工作進行檢查和評估，確認其是否存在以包代管的行為，或者是否存在兩級管理(施工單位與項目部)現象。

(3)監理方。應對監理企業資質動態變化予以檢查，掌握其工作人員資質變化情況，了解其安全教育培訓制度以及其他規章制度;應對監理方安全監理工作人員以及監理數量進行檢查，確認其有無違背合同之舉;應在施工現場對監理方執業行為、總監與工作人員到位情況、服務承諾是否實現等管理行為進行檢查;應就現場監理工作展開評估，確認其有無及時察覺施工違規行為，并提出相應的書面整改要求，后期是否及時開展整改復查工作。

(4)應做好薄弱部位的質控工作，根據《危險性較大的分部分項工程的安全管理辦法》可知，申請安全監督手續辦理或者申領施工許可證時建設單位應出具具有較大危險性的分部分項工程清單以及相應的安全管理策略。其次應遵循《城市軌道交通工程安全質量管理暫行辦法》，由建設單位全權負責工程項目管理工作。

4結語

篇10

【關鍵詞】 煤炭企業； 內部控制； 風險評估； 指標體系

一、煤炭企業內部控制風險評估指標體系的建立

煤炭企業的內部控制風險評估指標體系設計應遵循以下原則：

一是科學性和系統性相結合的原則。任何指標體系都應該建立在一定的理論基礎之上，科學性和系統性是制定指標體系的基本原則。二是全面性和代表性相結合的原則。指標體系應具有一定的全面性，能全面反映煤炭企業內部控制現狀，但也要采用有代表性的指標，避免主次不分。三是可操作性與可延續性相結合的原則。選取的指標不僅要具有可操作性，而且具有在時間和內容上的延續性。四是定性和定量相結合的原則。該指標體系不能全是定性指標或定量指標，這樣都不能夠客觀評價煤炭企業內部控制水平，而應該兩者相結合起來。

筆者基于評價指標體系設計原則和方法，結合煤炭企業自身的特點，借鑒《2010年煤炭行業風險評估報告》、2008年9月21日中國煤炭學會經濟管理專業委員會在山東威海舉辦的第九屆中國煤炭經濟管理論壇（論壇的主題是“企業全面風險管理與控制”）、煤炭行業內部控制風險評估現狀及影響因素，提出了煤炭行業內部控制風險評估指標體系。如表1所示。

二、基于AHP法風險評估指標的評估方法

本文對于定性指標，采用調查問卷形式調查實證分析的對象，根據其相應高管對此問卷的回答來確定相應風險發生的可能性及其影響程度。對于定量指標，本論文采用沃爾評分法，結合風險評估的相關計算及綜合評估來衡量煤炭企業內部控制風險，煤炭企業內部控制風險評估中三級風險、二級風險和企業加權平均風險值的計算公式如下：

內部控制風險因素三級指標加權平均風險值=∑（風險子因素各項分數×各對應子因素權重） 公式1

內部控制風險因素二級指標加權平均風險值=∑（風險母因素各項分數×各對應的母因素權重）公式2

煤炭企業內部控制風險因素綜合風險值=∑（風險類別各項分數×各對應的風險類別權重）公式3

用AHP法對指標進行量化的具體步驟如下：

（一）構建兩兩比較判斷矩陣

從層次結構模型（遞階層次結構圖）的第2層開始，對于從屬于（或影響）上一層每個因素的同一層諸因素，用成對比較法和1―9比較尺度構造成對比矩陣，直到最下層。

其中，元素滿足：

bij>0（i，j=1，2，…，n）；bii=1（i=1，2，…n）；bji=1/bij（i≠j；i，j=1，2，…，n）

（二）針對某一個標準，計算各備選元素的權重

目前，關于判斷矩陣權重計算的方法有兩種，即和積法和方根法。采用這兩種方法計算最大特征值和特征向量，從而求出相應層次的排序權重。

（三）進行一致性檢驗

通過判斷矩陣可以計算針對某一準則層各元素的相對權重；然后進行一致性檢驗。雖然在構造判斷矩陣A時并不要求判斷具有一致性，但判斷偏離一致性過大也是不允許的，因此進行一致性檢驗是很有必要的。

三、實證分析

以某煤炭集團為例，對其內部控制進行風險評估，文中對該公司內控風險的定性指標結果采用專家打分法獲得，即向專家發放調查問卷表，匯總專家打分的結果所獲得。對財務風險中各指標權重通過AHP方法計算得出；然后通過沃爾評分法計算相應指標的標準評分。根據表1指標體系，該公司內部控制風險評估綜合測算如表2所示。

經過定性和定量綜合分析后，該公司內部控制風險程度值是1.69，屬于低度風險，其中外部風險占綜合風險值的15%，內部風險為85%，說明隨著煤炭行業的逐步市場化，該公司的內部風險增大，值得企業關注。其中這九個風險中宏觀經濟風險占外部風險值（1.97）的47%，行業政策風險占外部風險的32%，市場風險為17%，自然災害風險為4%，人力資源風險占內部風險值（1.66）的10%、安全生產風險為57%、財務風險為3%、研發風險為18%、營銷風險為12%。圖1反映了二級指標風險因素占相應一級指標因素的綜合風險比例。

通過上述內控風險評估結果，筆者分析到該公司存在如下需要控制的風險：

一是該公司宏觀經濟風險占外部風險值（1.97）的47%。目前全球經濟格局仍處于重構階段，宏觀經濟環境存在許多的不確定因素，公司應該把它作為一個關鍵控制點加以管理。二是該公司的行業政策風險表現得比較突出，此風險占其相應一級指標綜合風險值的比例為32%，其中資源整合風險71.5%，資源稅改革風險19%，環境保護政策風險6.3%，煤炭出口政策3.2%。因此，該集團領導層要高度重視行業政策風險，找到問題的癥結，從而采取強有力的措施。三是該公司安全生產風險中人員的安全意識權重高達61.4%，這充分體現了人的安全意識在安全生產中的作用；安全信息化水平權重26.8%，這意味著在人員安全意識加強的前提下，該集團必須提高自身的安全信息化水平。四是在內部風險中，該公司研發風險占其相應的一級指標綜合風險值的比例為18%，其中研發經費的合理規劃對此數值的影響程度為7.8%，研發人員專業勝任力為47.5%，研發設備匹配度為12.6%，研發信息的及時性為32.1%。五是該公司市場風險占綜合風險值的比例為17%，其中海外煤炭生產商加入對此數值的影響程度為2.8%，煤炭運輸風險為9.8%，煤炭資源風險為63.6%，下游行業需煤波動風險為23.8%。六是在內部風險中，雖然財務風險（公司2010年的年報還沒有披露，所以以上數據都來源于2009年的年報）比重較小（3%），但其中也有值得該公司關注的風險，盈利能力為對此數值的影響程度竟達到78.2%，經營增長狀況為5.2%，收益分配風險為1.1%，債務償還能力為11.2%，籌資風險為4.3%，該公司應該高度重視其盈利能力，把握住公司的資本運作，不斷提高主營業務利潤率、資本保值增值率，從而更加完善公司的財務控制。

此外，該公司的人力資源管理因素中人才聘、解機制因素對此風險因素的影響程度為38.6%；其次是激勵與約束機制為33.8%，該公司應及時關注這兩大因素。

結 語

煤炭企業內部控制風險評估首先需要根據指標體系設計的原則，建立相應的風險評估指標體系；然后采用AHP方法構建風險評估數學模型；最后運用該模型對內部控制風險評估進行分析。煤炭企業可依據此分析判斷其自身面臨的重大風險，從而針對相應的重大風險建立有效的控制活動。

【參考文獻】

［1］ 張修鋒.上市公司內部控制的風險評估研究［D］.天津：天津財經大學，2009.